Gli utenti Tor tracciabili… con gli ultrasuoni!

Gen 04, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0

Il sistema di tracciamento con ultrasuoni usato dalle pubblicità online può essere usato per individuare la posizione e l’identità di chi naviga con Tor.

Per mantenere l’anonimato mentre si naviga su Internet non è sufficiente bloccare i cookie e nemmeno mascherare il proprio indirizzo IP con una VPN o con Tor.

A dimostrarlo nel corso del 33esimo Chaos Communication Congress è stata una squadra di sei ricercatori, che ha presentato una tecnica di tracciamento basata sull’utilizzo degli ultrasuoni.

Il sistema di tracciamento con ultrasuoni (ultrasound cross-device tracking o uXDT) è stato sviluppato nel 2014 ed è usato dalle aziende pubblicitarie per associare i dispositivi dei visitatori e migliorare la profilazione.

La chiave del sistema sono gli stessi annunci pubblicitari, che sono progettati per emettere un suono ad alta frequenza non percepibile dall’orecchio umano. Gli ultrasuoni sono invece rilevati dai microfoni di computer, smartphone e tablet che si trovano vicini alla fonte del suono.

Se su questi dispositivi sono installate determinate applicazioni, queste interpretano il segnale e rispondono inviando informazioni ai server del gestore della pubblicità, che può così associare vari dispositivi a un unico utente.

I vantaggi, per chi vive con la pubblicità online, sono notevoli. Immaginiamo per esempio che una persona stia navigando con il suo PC desktop, ma abbia sulla scrivania uno smartphone e un tablet che sono in grado di percepire il segnale.

Attraverso uXDT, l’azienda pubblicitaria è in grado di sapere che quel determinato utente possiede, oltre al computer con il quale sta navigando, due dispositivi mobili. Di più: grazie alle informazioni che inviano, può conoscerne marca e modello.

Una forma di comunicazione “invisibile” tra computer e dispositivi mobile. E poi si parla di paranoia…

Lo stesso principio, però, può essere utilizzato per individuare il vero indirizzo IP di un utente che sta navigando con Tor o con una VPN.

Per farlo è sufficiente creare elementi pubblicitari che integrano la tecnologia uXDT. Se nella stanza ci sono altri dispositivi in grado di reagire ai comandi tramite ultrasuoni e sono collegati allo stesso router, è possibile ricavare il vero indirizzo IP da cui il computer si collega.

Stando a quanto illustrato dai ricercatori, inoltre, il sistema permette anche di ottenere altre informazioni, come il MAC address, l’Android ID, il numero di telefono e le coordinate GPS.

Come proteggersi? Prima di tutto è bene tenere conto del fatto che affinché un dispositivo sia vulnerabile a questo tipo di attacco è necessario che su di esso sia installata un’app in grado di accedere al microfono e di interpretare i comandi inviati attraverso gli ultrasuoni.

Il team di ricercatori di uBeacSec propone anche alcuni strumenti software che consentono di filtrare gli ultrasuoni usi dispositivi Android e un’estensione per Chrome che ha una funzione simile. Entrambi (ancora in fase sperimentale) sono disponibili nella sezione Download del sito.